摘要:
打开题目,看到还是SSTI漏洞, 首先还是让我们使用flag构造参数,所以就是?flag={{XXXX}},再看了一下config 看了一下,没见什么特殊的东西,题目说了时SSIT漏洞,那么利用漏洞先ls查看一下 /?flag={{%20config.__class__.__init__.__glo 阅读全文
摘要:
下载文件看到是cap文件,拿wireshark分析。 1.首先我们要知道EAPOL 的全称为 Extensible Authentication Protocol Over LAN,即 EAP Over Lan,也即基于局域网的扩展认证协议。EAP是一个普遍使用的认证机制,它常被用于无线网络或点到点 阅读全文
摘要:
下载来看到是一张图片,根据图片写下字符: 此时我们百度了解一下黄道十二宫的解密方式 https://www.bilibili.com/video/BV1Ra411F7tv?from=search&seid=982716839803125024,在视频的2分半方式按照排列方式重新排列 %%>%..@3 阅读全文
摘要:
下载看到一个图片,杂项题,优先看属性 安装:apt-get install steghide 1.首先先看隐藏文件 2.查看解压文件 3.修改图片高度 4.进行解密 阅读全文
摘要:
function checkSubmit(){ var a=document.getElementById("password"); ###返回对拥有指定 ID 的第一个对象的引用。 if("undefined"!=typeof a){ ###undefined属性用于存放 JavaScript 中 阅读全文
摘要:
之后我就懵逼了,不知道考啥,看了一下别人,原来说考git泄露,提示说用linux,我们使用kali扫描目标文件,我这里使用dirsearch 附上下载链接:git clone https://github.com/maurosoria/dirsearch.git; 通过泄露的。git文件夹下的文件, 阅读全文
摘要:
接下来我们试着百度SSTI,具体可以看大佬博客https://www.cnblogs.com/bmjoker/p/13508538.html 基本理解下来就是我们输入啥,页面某部分会跟着我们输入改变 根据题目的提示,flag很有可能在SECRET_KEY文件中,我一直卡在看不了SECRET_KEY文 阅读全文
摘要:
下载打开解压,发现是一个文件夹,里面有很多文件,没找到什么有用的信息 1.有时候不懂多百度是有好处的,百度了一下火绒加密区 说火绒的隔离区有防加密的功能在C:\ProgramData\Huorong 之后安装火绒,看到有flag文件,我们提取下就行了 阅读全文
摘要:
下载打开是一个安卓文件,那么直接拿去模拟器看看 接着分析源码: package com.example.xman.easymobile; public class encode { private static byte[] b; static { encode.b = new byte[]{23, 阅读全文
摘要:
首先下载文件,看到是apk文件,那就是安卓逆向。拿模拟器来运行看看 1.看来是一个判断用户输入的程序,我们拿JEB分析源代码main类,如下: package com.example.crackme; import android.app.Activity; import android.os.Bu 阅读全文